• Blog
  • Darmowe konsultacje
  • O mnie
  • Kontakt
Wyklikane.pl
  • Blog
  • Darmowe konsultacje
  • O mnie
  • Kontakt

Serwer / IT

  • Strona główna
  • Serwer / IT
  • Dobre praktyki zakładania hasła

Dobre praktyki zakładania hasła

  • Opublikowane przez Damian Kmieciak
  • Data 24 stycznia 2022
  • Komentarze 0 komentarzy
Dobre praktyki zakładania haseł

Spora cześć użytkowników przyznaje, że używa w Internecie tych samych haseł więcej niż raz. Twierdzą, że łatwiej im jest je spamiętać, szczególnie jeśli nie są zbyt skomplikowane. To ogromny błąd. Proste do zapamiętania hasła i w dodatku użyte w kilku serwisach internetowych są banalne do złamania przez hakerów. W tym wpisie przedstawię Ci najlepsze dobre praktyki zakładania hasła. Zapraszam do lektury.

Jak łamane są hasła?

Hakerzy próbujący włamać się na wybrane konto użytkownika (np. WordPress, Allegro, Facebook, Google czy dowolny inny serwis lub sklep internetowy) używają dedykowanych narzędzi. Są nimi specjalnie napisane roboty czy algorytmy wykorzystujące metodę słownikową. Polega ona na tym, że dany algorytm próbuje odgadnąć hasło korzystając z najbardziej popularnych w danym języku słów, cyfr i znaków specjalnych. Potrafi sprawdzić ich nawet kilkadziesiąt czy kilkaset na sekundę. Metoda ta jest jedną z najbardziej skutecznych.

Co gorsze, zdobyte w ten sposób hasła często publikowane są w Internecie wraz z przypisanymi do nich loginami, adresami e-mail, numerami telefonów, kart kredytowych czy adresami. Wszystko w zależności od tego skąd te dane są wykradzione i jakie informacje były przechowywane na powiązanym z tym hasłem koncie.

I teraz wyobraź sobie taką sytuację, że Twoje hasło użyte w dowolnym sklepie czy serwisie internetowym wyciekło do sieci wraz z loginem, czyli np. adresem e-mail. Istnieje spora szansa, że hakerzy (za pomocą algorytmów) będą próbować użyć tych danych do zalogowania się w innych serwisach. Jeśli np. Twoje hasło do konta w Empiku, Allegro, Merlinie czy Dropboxie wyciekło do sieci, hakerzy spróbują użyć go do zalogowania się do poczty Google lub Facebooka.

W ten sam sposób haker może też dostać się do zaplecza Twojej strony WordPress, lub co bardziej prawdopodobne – wykraść z niej login i hasło. Mogą też następnie wgrać złośliwe oprogramowanie wyświetlające reklamy na stronie, rozsyłające SPAM czy nawet całkowicie wyłączające stronę.

Jak się bronić przed wykradaniem haseł?

Na szczęście możemy się bronić przed automatycznymi atakami na nasze strony WordPress. Najpopularniejszą metodą obrony przed słownikową próbą złamania hasła jest ograniczenie liczby nieudanych logowań. Niestety WordPress nie posiada wbudowanego mechanizmu obrony i trzeba posiłkować się wtyczkami. Pozwalają one ograniczyć próby nieudanego logowania do określonej w czasie liczby. Np. 3 błędne próby wpisania hasła odcinają dostęp na 1 godzinę. Albo na jedną dobę – ustawiasz jak chcesz.

Taką podstawową funkcję zabezpieczeń posiada np. darmowa wtyczka Limit Login Attempts Reloaded. Dzięki niej ograniczysz ilość nieudanych prób logowania i ustawisz czas blokady. Ustawisz powiadomienia e-mail o nieudanych próbach a także zobaczysz listę nieudanych prób. Zablokujesz próby logowania z konkretnych adresów IP czy dla konkretnych loginów, zabezpieczysz tym samym sklep WooCommerce.

Dobre praktyki zakładania haseł
Wtyczka Limit Login Attempts Reloaded zyskała uznanie użytkowników na całym świecie. Skutecznie blokuje automatyczne ataki brute force na stronę WordPress.

Dobre praktyki zakładania hasła

Mocne hasła nie zawierają prostych kombinacji składających się ze słów i cyfr. Łatwe do spamiętania imiona, nazwy lub daty urodzin wcale nie są trudne. Hasło typu “marta2021” jest zbyt proste.

Im dłuższe hasło tym lepiej. Algorytmy potrzebują wtedy więcej czasu, aby sprawdzić jego wszystkie kombinacje. Używaj mieszaniny małych i dużych liter, numerów i symboli. Podmiana litery “a” na symbol “@” w haśle niewiele już daje. Algorytm jest na to przygotowany. Podobnie jest z użyciem cyfry “3” zamiast litery “E”.

Najlepsze hasło to takie, które jest unikalne i niepowtarzalne. Wyobraź sobie, że kot przebiegł Ci kilkukrotnie po klawiaturze. Takie hasło, będzie bardzo trudne do odgadnięcia przez algorytmy.

Nie używaj tego samego hasła więcej niż raz. Wiem, że wydaje się to przesadą, ale przypomnij sobie co pisałem kilka akapitów wyżej. Podłe typy spod ciemnej gwiazdy spróbują użyć wykradzionego hasła do Twoich innych kont!

Spamiętanie tych wszystkich haseł wydaje się wyzwaniem, ale pamiętaj, że istnieją menadżery haseł. Oprócz oczywistej funkcji przechowywania Twoich haseł, posiadają również dobre ich generatory. Najprostszym menadżerem haseł jest ten wbudowany w Twoją przeglądarkę. Jeśli chcesz, możesz też pokusić się o bardziej rozbudowane menadżery w formie osobnego serwisu lub aplikacji mobilnej. LastPass, KeePass lub Dashlane oferują zarówno konta darmowe jak i płatne.

Możesz mieć niskie zaufanie do menadżerów haseł. Myślisz sobie, że przecież tylko Ty pamiętasz swoje cenne hasło i nikt Ci go nie wykradnie. Tylko, ile tych unikalnych i trudnych haseł jesteś w stanie zapamiętać? Hasła zapisane w menadżerze są bezpieczniejsze.

Pamiętaj, istnieje większe prawdopodobieństwo, że Twoje hasło wycieknie z Facebook, Google czy LinkedIn niż to, że ktoś skieruje spersonalizowany atak na Twój komputer by wykraść Twoje hasło z menadżera haseł!

Podsumowanie

O najpopularniejszych metodach ataków hakerskich na WordPress pisałem już jakiś czas temu. Nie muszę też dodawać, że setki cyberprzestępców na całym świecie próbuje codziennie dostać się do popularnych serwisów by wykraść hasła. Strony i blogi oparte na WordPress nie są wyjątkiem. Nie jesteś w stanie całkowicie zabezpieczyć się przed włamaniem czy kradzieżą hasła, ale możesz znacznie utrudnić ten proces.

Pamiętaj:

  • twórz długie i skomplikowane hasła składające się z małych i dużych liter, cyfr i znaków specjalnych
  • nie używaj tego samego hasła więcej niż raz
  • przechowuj hasła w bezpiecznych menadżerach haseł (np. w przeglądarce lub aplikacji w telefonie)
  • ograniczaj nieudane próby logowania do konta WordPress
  • nie używaj domyślnego loginu “admin” na żadnej swojej stronie WordPress

Jeśli masz jakieś inne dobre praktyki zakładania hasła lub uwagi do tego wpisu – zostaw mi je śmiało w komentarzu. Omówmy je!

ZAPISZ SIĘ DO NEWSLETTERA!

Bądź na bieżąco! W newsletterze będziesz otrzymywać m.in. informacje o nowych wpisach na blogu, poradnikach na YouTube, e-bookach oraz ważnych wydarzeniach ze świata WordPress. Wysyłam jedynie wartościowe treści.

Tag:Ataki hakerskie, hasło

  • Udostępnij:
author avatar
Damian Kmieciak

Programista, twórca gier i aplikacji na urządzenia mobilne oraz komputery PC. Projektant stron i sklepów internetowych, logotypów, wizytówek, opakowań, ulotek i etykiet. Ostatnio pracownik FIBARO odpowiedzialny za utrzymanie i rozwój strony internetowej.

Poprzedni wpis

Jak zresetować hasło WordPress przez FTP
24 stycznia 2022

Następny wpis

WordPress 6.0 - czego się spodziewać?
7 lutego 2022

Może Ci się spodobać

Sierotki w WordPress
Sierotki w WordPress. Wiszące spójniki i przyimki
5 grudnia, 2022
przełącznik języka na ekranie logowania
Jak wyłączyć przełącznik języka na ekranie logowania
7 listopada, 2022
Jak podzielić długi wpis na podstrony
Paginacja wpisu. Jak podzielić długi wpis na podstrony?
29 sierpnia, 2022

Znajdź na stronie

Kategorie

  • Darmowe motywy
  • Design / Grafika
  • Elementor
  • SEO / Optymalizacja
  • Serwer / IT
  • WooCommerce
  • WordPress

Najnowsze wpisy

Jak wymusić 9 cyfr numeru telefonu w WooCommerce
Jak wymusić 9 cyfr numeru telefonu w WooCommerce
30st.2023
Jak zmienić nazwę sklepu WooCommerce
Jak zmienić nazwę sklepu WooCommerce
16st.2023
Jak wyświetlić polecane produkty
Jak wyświetlić polecane produkty w WooCommerce
02st.2023
Jak zbudować sklep internetowy
Jak zbudować sklep internetowy w WordPress
19gr.2022
Sierotki w WordPress
Sierotki w WordPress. Wiszące spójniki i przyimki
05gr.2022
Wyklikane Logo
+48 503 865 645
kontakt@wyklikane.pl